MIUR: indicazioni Privacy e Didattica Integrata, analisi.
Il Ministero Istruzione con le indicazioni sopra esposte cerca di far chiarezza in un mondo, quello della Privacy, divenuto complesso anche a causa del Covid.
Come primissima osservazione facciamo riferimento alle premesse del documento in cui il MI esplicitamente evidenzia come la scelta della piattaforma debba essere “preferibilmente” fatta con il supporto del RPD, dando un vero e proprio incarico di analisi (… Per questo motivo il Dirigente scolastico incaricherà il RPD, ai sensi di quanto previsto dall’art. 39, par. 1, lett. a) del Regolamento, di fornire consulenza rispetto alle principali decisioni da assumere, ad esempio, in merito alla definizione del rapporto con il fornitore della piattaforma prescelta e alle istruzioni da impartire allo stesso, all’adeguatezza delle misure di sicurezza rispetto ai rischi connessi a tale tipologia di trattamenti e alle misure necessarie affinché i dati siano utilizzati solo in relazione alla finalità della DDI e alle modalità per assicurare la trasparenza del trattamento mediante l’informativa a tutte le categorie di interessati … ).
Calcolando che per la scelta della DAD questo non è avvenuto, diventa fondamentale per la scelta della DI.
Nel secondo capoverso il MI definisce le figure previste dal GDPR in merito ai trattamenti dei dati, cosa che abbiamo già ampiamente fatto con le nomine che sempre abbiamo indicato obbligatorie.
Interessante il terzo capoverso ove il MI convalida quanto da noi osservato ovvero che il consenso dei genitori non è necessario per lo svolgimento di attività istituzionali; è però da osservare che questa indicazione è valida qualora gli strumenti utilizzati ed i dati raccolti siano conformi all’attività istituzionale appunto.
Pertanto per l’assolvimento di quanto esplicitato nel terzo capoverso è importante che l’RPD abbia convalidato i sistemi ed i dati raccolti.
Il quarto capoverso richiama ai principi di trasparenza necessari per la corretta informativa, cosa che più volte abbiamo indicato come fondamentale, In pratica è la corretta gestione dell’informativa a tutti i genitori, famiglie, docenti, dipendenti e fornitori.
Questo viene fatto principalmente con il modello 5 che però deve essere compilato correttamente con l’indicazione di tutti i trattamenti gestiti ed i responsabili esterni incaricati.
Al modello 5 deve essere affiancata la redazione del modello 9.4, ovvero il registro dei trattamenti, documento fondamentale che descrive tutto quello che la scuola gestisce ed in che modo.
Il Titolare del Trattamento deve alla fine predisporre le nomine come succitate per garantire il completo rispetto della normativa.
La scuola deve anche definire i tempi di conservazione dei dati nelle piattaforme che usa e sopratutto se i dati restano nelle CE o vengono messi anche all’esterno della CEE stessa.
Veniamo ora al capoverso Ruolo dei Fornitori, ove viene chiaramente esplicitato quanto da noi detto in tempi non sospetti:
In qualità di titolare del trattamento dei dati personali, l’istituzione scolastica, che riterrà opportuno ricorrere a un soggetto esterno per la gestione dei servizi per la DDI che comportino il trattamento di dati di personale scolastico, studenti e/o dei loro familiari per conto della scuola stessa, è tenuta a nominare tale soggetto come responsabile del trattamento con contratto o altro atto giuridico (art. 28 del Regolamento), indicando conseguentemente tale circostanza nel registro dei trattamenti (art. 30 del Regolamento).
Attraverso tale atto, l’istituzione scolastica circoscriverà l’ambito, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, ricorrendo a fornitori che presentino garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate agli specifici trattamenti posti in essere per conto dell’istituzione stessa.
Come potete vedere la scuola deve nominare il fornitore responsabile esterno del trattamento, facendo apposito contratto come da art. 28 del regolamento che così si esprime: “… I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. … ”
In particolare l’atto giuridico è valido se esprime la volontà delle parti, dichiara l’oggetto dell’atto ed è concluso da chi può sottoscriverlo (in particolare per gli enti pubblici e le società).
Questa definizione anche se generica genera molte perplessità sull’attuale forma di contratto on line usato da molti fornitori di piattaforme (ad esempio Google).
Questa indicazione nostra è talmente vera che lo stesso MI osserva poco più avanti: ” … Anche nel caso di utilizzo per la DDI di una piattaforma disponibile a titolo gratuito dovrà essere disciplinato in ogni caso il rapporto con il fornitore con riguardo al trattamento di dati personali attraverso un contratto o altro atto giuridico ai sensi dell’art. 28 del Regolamento …”
Il tema estremamente complesso è che nel giro dei click ed autorizza nessuno può dire cosa ha firmato, e nemmeno Google è in grado di dimostrarlo tanto che in alcuni giudizi google ha perso proprio su questo punto, ma nemmeno nessuno può dire chi ha firmato.
Questa evidenza rende praticamente tutto nullo, o quantomeno tutto discutibile.
Il proseguo delle indicazioni Ministeriali entra nel merito della sicurezza dei sistemi utilizzati dando al Dirigente Scolastico la responsabilità di:
- adozione di adeguate procedure di identificazione e di autenticazione informatica degli utenti;
- utilizzo di robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione;
- definizione di differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati;
- definizione di password policy adeguate (es. regole di composizione, scadenza periodica, ecc.);
- conservazione delle password degli utenti, mediante l’utilizzo di funzioni di hashing allo stato dell’arte (es. PBKDF2, bcrypt, ecc.) e di salt di lunghezza adeguata;
- utilizzo di canali di trasmissione sicuri tenendo conto dello stato dell’arte;
- adozione di misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery);
- utilizzo di sistemi di protezione perimetrale, adeguatamente configurati in funzione del contesto operativo;
- utilizzo di sistemi antivirus e anti malware costantemente aggiornati;
- aggiornamento periodico dei software di base al fine di prevenirne la vulnerabilità;
- registrazione degli accessi e delle operazioni compiute in appositi file di log, ai fini della verifica della correttezza e legittimità del trattamento dei dati;
- definizione di istruzioni da fornire ai soggetti autorizzati al trattamento;
- formazione e sensibilizzazione degli utenti.
Il MI concede al DS il supporto del RPD ma la scuola dovrebbe avere anche l’amministratore di sistema che potrebbe intervenire a supporto del DS su molti dei punti in epigrafe.
Una osservazione poi è legata al controllo dei lavoratori nelle piattaforme on line, in quanto se non verificato potrebbe essere motivo di contestazione.
infine l’ultimo capoverso parla della DPIA.
Questa particolare analisi informatico organizzativa non è necessaria “… poiché l’istituzione scolastica, in genere, non effettua trattamenti di dati personali su larga scala, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive …”
Al termine di questa disamina ci permettiamo di riassumere quanto già ormai ampiamente detto nel corso dell’ultimo anno rispetto ai punti necessari:
- predisposizione informativa generale (modello 5)
- predisposizione della modulistica necessaria (modelli presenti nella sezione del sito)
- individuazione e nomina delle figure necessarie (responsabili esterni, autorizzati, etc.)
- predisposizione registro dei trattamenti (modulo 9.4)
- adeguamento sito web alle regole
- predisposizione percorsi di formazione
- analisi sistema informativo
- definizione dei regolamenti necessari e delibera in CI (reg. Privacy, reg. Google, etc.)
